Diesen Mai 2018 tritt sie in Kraft, die neue Europäische Datenschutz-Grundverordnung (DSGVO). Als Verordnung ist sie unmittelbar wirksam und verbindlich. Ab Mai 2018 also alles gut? Am Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel haben sich Rechtswissenschaftler_innen und Informatiker_innen seit den ersten Entwürfen zur Verordnung en détail mit dieser beschäftigt. Ein Beispiel ist das sogenannte „Recht auf Vergessenwerden“ (Art. 17 der DSGVO). Es schreibt vor, dass alle Serverbetreiber in der EU unter bestimmten Bedingungen Daten der betroffenen Person löschen müssen. Artikel 17 der DSGVO verlangt von den Betreibern auch, dass auch dritte Parteien, die ein zu löschendes Datenobjekt heruntergeladen haben, zu informieren sind. Dies klingt logisch, denn nur so könnte tatsächlich „vergessen werden“. In der Realität aber stellt dies eine nicht lösbare technische Herausforderung dar, wie Professor Dr. Arno Wacker, Leiter des Fachgebiets Angewandte Informationssicherheit bestätigt. „Die allgemeingeläufige Redensart ‚Das Internet vergisst nichts‘ wird in der Informatik längst thematisiert. Um Dritte zu informieren, müssten die Verantwortlichen alle Zugriffe verfolgen (protokollieren). Dies ist allerdings schwer zu erreichen und in vielen Fällen zurzeit technisch nicht möglich.“ Dem gegenüber steht die unerbittliche Tatsache, dass „jeder, der in irgendeiner Weise Daten von EU-Bürgern verarbeitet, ab Mai 2018 verpflichtet ist, diesem Gesetz zu folgen“, wie Professor Dr. Alexander Roßnagel, Leiter des Fachgebiets Öffentliches Recht, insb. Umwelt- und Technikrecht, unterstreicht. „Da der Gesetzgeber nichts verlangen kann, was technisch nicht möglich ist, wurde diese Informationspflicht im Gesetzestext auch gleich wieder aufgeweicht mit der Formulierung, dass dies für die jeweiligen Provider unter der Berücksichtigung der technischen und finanziellen Möglichkeiten eine angemessene Maßnahme sein müsse …“ Der Gesetzgeber bietet also gleich eine Hintertür mit, weil das Problem eigentlich nicht lösbar ist?

Genau an diesem Punkt setzt die Dissertation von Frau Dr. Olga Kieselmann an. Sie ist Informatikerin, aber anders als in allen bisherigen Arbeiten zum Löschen im Internet sucht sie in ihrer Arbeit kein rein technisches System zum Löschen von Daten. Die oben angedeutete „Hintertür“ nimmt sie zum Ausgangspunkt und fragt mit einem Blick, der über ihre eigene Disziplin hinausgeht, wie könnte man es erreichen, dass diese im Gesetz verankerte Informationspflicht über Löschaufträge für die Provider tatsächlich zu einem vertretbaren Aufwand wird. Ihre Lösung ist ein Benachrichtigungsdienst über den Datenrückruf (Data Revocation Service, DRS), welcher das Informieren über Löschaufträge sowohl an die Verantwortlichen als auch an Dritte übernimmt. Mit diesem Dienst kann der Betroffene seinen Datenrückruf automatisiert und simultan an alle betroffenen Verantwortlichen stellen, anstatt wie heute jeden einzelnen deswegen zu kontaktieren. „Ich vergleiche es gern mit einem Postamt“ sagt Dr. Kieselmann über ihren neuen Ansatz. „Dieses „Postamt“ fungiert als eine Art Vermittler zwischen den Nutzer_innen und Providern und teilt kontinuierlich den einem Datenobjekt aktuell zugeschriebenen Rückrufzustand mit. Natürlich habe ich dieses System so entworfen, dass es sicher ist und auch nicht für irgendeine Zensur funktionieren könnte, also die Privatsphäre des Einzelnen nicht verletzt wird.“ Mit ihrem System schafft Dr. Kieselmann ein Angebot dafür, die Lücke, die durch den Artikel 17 entstanden ist, technisch und organisatorisch zu schließen – ein Angebot für alle, die das Gesetz befolgen wollen, mit besagtem vertretbaren Aufwand. Bleibt zu hoffen, dass auf die Veröffentlichung auch eine Testphase folgt und dann … vielleicht werden in Zukunft neben diversen Rückrufaktionen aus den Supermarktregalen die regelmäßigen Rückrufaktionen aus dem Internet zu einer ganz allgemeinen Selbstverständlichkeit. So könnte es gelingen, ein Recht auf Vergessenwerden.

Full text verfügbar bei kasseluniversitypress (pdf-file, printable, Open Access - 4.43 MB):

Links:

www.upress.uni-kassel.de/katalog/abstract_en.php